به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بزرگترین این موارد مربوط به شرکت بلوشیلد کالیفرنیا (Blue Shield of California) است که به وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) اطلاع داده که این حادثه ۴.۷ میلیون نفر را تحت تأثیر قرار داده است.
در نامههای اطلاعرسانی درباره نشت اطلاعات و نیز اطلاعیهای در وبسایت خود، این شرکت بیمه اعلام کرد که از آوریل ۲۰۲۱ تا ژانویه ۲۰۲۴ از سرویس گوگل آنالیتیکس (Google Analytics) برای رصد داخلی میزان استفاده اعضا از بخشهای خاصی از وبسایتهای بلوشیلد استفاده کرده است.
در ماه فوریه، شرکت متوجه شد که گوگل آنالیتیکس به گونهای تنظیم شده بود که اجازه میداد برخی از اطلاعات اعضا با سرویس تبلیغاتی گوگل (Google Ads) به اشتراک گذاشته شود؛ این اطلاعات به احتمال زیاد شامل دادههای محافظتشده سلامت (PHI) بوده است.
این شرکت بیان کرد:
ممکن است گوگل از این دادهها برای اجرای کمپینهای تبلیغاتی هدفمند به سمت آن اعضا استفاده کرده باشد. میخواهیم به اعضای خود اطمینان بدهیم که هیچ عامل مخربی در این ماجرا دخیل نبوده و تا آنجا که ما اطلاع داریم، گوگل این اطلاعات را به غیر از این تبلیغات استفاده نکرده یا با هیچکس دیگری به اشتراک نگذاشته است.
اطلاعاتی که با گوگل به اشتراک گذاشته شده شامل نام طرح بیمه، شماره گروه، کد پستی، جنسیت، اطلاعات خانوادگی، شمارههای حساب آنلاین، تاریخ خدمات درمانی، اسامی، معیارها و نتایج جستجوی "یافتن پزشک" و موارد دیگر بوده است.
بلوشیلد کالیفرنیا اعلام کرد که در ژانویه ۲۰۲۴ اتصال بین گوگل آنالیتیکس و سرویس تبلیغاتی گوگل را در وبسایتهای خود قطع کرده است.
سخنگوی گوگل اظهار کرد:
مدیریت دادههایی که کسبوکارها جمعآوری میکنند بر عهده خود آنهاست و باید کاربران را از نحوه جمعآوری و استفاده از اطلاعات آگاه کنند. به طور پیشفرض، دادههای ارسالی به گوگل آنالیتیکس برای سنجش عملکرد، افراد را شناسایی نمیکند و ما سیاستهای سختگیرانهای علیه جمعآوری اطلاعات خصوصی سلامت (PHI) یا تبلیغ براساس اطلاعات حساس داریم.
استفاده شرکتهای فناوری و سلامت از دادههای بیماران برای اهداف تبلیغاتی بیش از پنج سال است که موضوع نگرانی است.
پیشتر کمیسیون فدرال تجارت (FTC) و وزارت بهداشت و خدمات انسانی آمریکا (HHS) به حدود ۱۳۰ سیستم بیمارستانی و ارائهدهنده خدمات پزشکی از راه دور درباره خطرات امنیتی ناشی از فناوریهای ردیابی مانند پیکسل فیسبوک (Meta/Facebook Pixel) و گوگل آنالیتیکس هشدار داده بودند.
این نهادها هشدار داده بودند که چنین فناوریهایی که معمولاً در وبسایتها و اپلیکیشنهای موبایل تعبیه میشوند، اطلاعات قابل شناسایی کاربران را به شیوههایی جمعآوری میکنند که اجتناب از آن برای مصرفکنندگان دشوار است و اغلب کاربران آگاه نیستند که دادههای سلامتیشان به اشخاص ثالث فاش میشود.
شرکتهایی مانند کایزر (Kaiser)، بترهلپ (BetterHelp)، گود آر ایکس (GoodRx)، پریمام (Premom) و فلوری (Flurry) نیز به دلیل جمعآوری یا به اشتراک گذاشتن دادههای حساس بهداشتی با فروشندگان ثالث نظیر گوگل با جریمههای سنگین مواجه شدهاند.
با این حال، سال گذشته دولت فدرال آمریکا از اجرای مقررات جدید برای محدود کردن استفاده بیمارستانها از ابزارهای ردیابی وب عقبنشینی کرد، پس از آنکه دادگاهی فدرال تصمیم دولت بایدن برای محدود کردن استفاده بیمارستانها و ارائهدهندگان خدمات درمانی از ردیابهای آنلاین را غیرقانونی دانست.
در پی رخدادهای جدید در ماه آوریل، سازمانهای بهداشتی متعددی به نهادهای ناظر ایالتی درباره نشت اطلاعاتی که اطلاعات صدها هزار نفر را افشا کرده، اطلاع دادهاند.
از ابتدای آوریل تاکنون، دستکم ۱۷ سازمان درمانی به نهادهای ناظر در ایالت مِین گزارش دادهاند که چند مورد از آنها بیش از ۱۰۰ هزار قربانی داشتهاند.
تنها طی هفته گذشته، سازمانهایی مانند آنسایت ماموگرافی (Onsite Mammography)، گروه بیمه کلی و شرکا (Kelly & Associates)، منابع سلامت رفتاری (Behavioral Health Resources)، سیستم درمانی همیلتون (Hamilton Health Care)، مرکز ارتوپدی کودکان مرکزی تگزاس (Central Texas Pediatric Orthopedics) و سرویس آمبولانس مدیکال اکسپرس (Medical Express) همگی وقوع حملههای سایبری و نشت دادههای حساس را گزارش کردهاند.
چندین حمله از سوی گروههای باجافزاری ادعا شده که قصد دارند دادههای سرقتی را منتشر کنند یا قبلاً منتشر کردهاند.
حمله به آنسایت ماموگرافی که دوشنبه اعلام شد، اطلاعات ۳۵۷٬۲۶۵ نفر شامل نامها، شمارههای تأمین اجتماعی، سوابق پزشکی و سایر دادههای سلامتی را تحت تأثیر قرار داده است.
حساسیت دادههای افشا شده، شکایتهای گروهی احتمالی (class action lawsuits) را نیز به دنبال داشته است.
